Segurança : Cisco IOS Intrusion Prevention System (IPS)

O endereço IP de Um ou Mais Servidores Cisco ICM NT e a porta aparecem como 0.0.0.0:0 em eventos da assinatura IPS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento explica o que a sumarização do evento do Intrusion Prevention System (IPS) é e o que as razões são para os endereços IP de Um ou Mais Servidores Cisco ICM NT que aparecem como 0.0.0.0:0 em eventos da assinatura IPS.

Contribuído por Akhil B, por Prapanch Ramamoorthy, e por Thulasi Shankar, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • A assinatura do ips Cisco alerta a configuração
  • Configuração de sumarização do evento IPS

Nota: Veja exemplos da configuração de sumarização IPS para exemplos da configuração de sumarização do evento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramenta de segurança adaptável módulos ips 5500 ou 5500x (ASA)
  • IPS 4200, 4300, ou dispositivos IPS do 4500 Series
  • Módulo de rede aumentado (NME) - Módulo ips
  • IPS do software 7.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

A sumarização do evento IPS é um método usado para agregar eventos múltiplos em um único alerta. Isto conduz a uma redução do volume de alertas processado e enviado pelo sensor.

Problema

Os eventos gerados no IPS mostram o endereço IP de Um ou Mais Servidores Cisco ICM NT do atacante/vítima como 0.0.0.0:0.

Solução

Quando o IPS gera alertas da assinatura, fornece a informação tal como o ID de assinatura, Timestamp, endereço IP de Um ou Mais Servidores Cisco ICM NT do atacante/vítima, e assim por diante. Sob certas condições, os eventos gerados mostram o endereço IP de Um ou Mais Servidores Cisco ICM NT do atacante/vítima indicados como 0.0.0.0:0. A razão atrás dos endereços IP de Um ou Mais Servidores Cisco ICM NT indicados como 0.0.0.0:0 é sumarização. A fim configurar a sumarização, para adicionar uma assinatura feita sob encomenda nova ou para editar uma assinatura atual e para selecionar a frequência alerta > modo sumário.

As opções disponíveis da sumarização são:

  • Fogo-todo - ateia fogo a um alerta cada vez que uma assinatura é provocada.
  • Fogo-uma vez que - ateia fogo a um alerta para um grupo do endereço.
  • Resuma - ateia fogo a um alerta a primeira vez que uma assinatura é provocada. Os alertas adicionais para essa assinatura são resumidos para a duração do intervalo sumário.
  • Global-sumarização - ateia fogo a um alerta para cada intervalo sumário.

Que é a diferença entre a chave sumária e o ponto inicial sumário global?

A chave sumária é uma chave usada pelo IPS a fim concluir como criar um evento sumário. À revelia, este é um endereço do atacante que signifique aquele se você tem um atacante que provoca toda a assinatura, um evento regular e um sumário está gerado. Se você tem dois atacantes, dois eventos regulares e dois sumários estão gerados para o intervalo sumário configurado. Se você ajusta a chave sumária ao endereço da vítima e você tem dois atacantes que visam uma vítima, a seguir dois atacantes gravarão somente um evento regular e um sumário.

O modo sumário tem duas opções; Intervalo e chave sumários do sumário. O intervalo sumário é representado nos segundos e ateia fogo para cada intervalo sumário. A chave sumária é um critério por que o IPS decide em como criar o evento sumário. À revelia, este é o endereço do atacante. As opções chaves sumárias disponíveis incluem:

  • Endereço do atacante (padrão)
  • Endereço do atacante e porta da vítima
  • Endereços do atacante e da vítima
  • Atacante e endereços e portas da vítima
  • Endereço da vítima

O exemplo anterior mostra uma assinatura resumido com um intervalo sumário de 4 e chave sumária como o endereço do atacante. Nesta encenação, a assinatura ateia fogo a um evento normal a primeira vez depois do qual aponta a assinatura é resumida para um intervalo de 4 segundos.

Ponto inicial sumário global - se o sumário global não é especificado e se há dois endereços IP de Um ou Mais Servidores Cisco ICM NT do atacante vistos, o IPS grava dois eventos normais. Após um período de intervalo sumário, dois eventos resumidos adicionais são gerados, um para cada endereço IP de Um ou Mais Servidores Cisco ICM NT do atacante. No total, você teria 4 eventos gravados dentro do intervalo especificado.

Com a sumarização global permitida com um ponto inicial sumário global de diga, dois, e se você repete o exemplo anterior, então o IPS grava TRÊS eventos: dois para batidas iniciais para cada endereço do atacante e se resumiram o evento para todos os atacantes (dois neste caso) dentro do intervalo especificado. Agora se você escalou acima do número de atacantes e de batidas, você veria que uma sumarização global salvar acima muitos eventos/logs e assim ciclos de processador.

A sumarização global tem somente uma subopção que é “o intervalo sumário” que é configurado nos segundos. Quando a assinatura é ajustada a global-summarizarion, ateia fogo para cada intervalo sumário. Isto é, se o intervalo sumário é ajustado ao '5', ateia fogo a um alerta a primeira vez que a assinatura é provocada e depois disso ateia fogo para cada intervalo sumário dos segundos 5.

A fim editar uma assinatura, uma configuração seleta > umas políticas > assinatura ativa e procurá-los então pela assinatura relevante.

Por exemplo, o SIG ID para “o pedido ICMP” é 2004. Clicar com o botão direito a assinatura e seleto edite a fim obter à caixa de diálogo mostrada aqui:

No snippet da configuração precedente, o modo sumário foi ajustado a “global resume” com um intervalo sumário dos segundos 5.

A amostra de alertas mostra as assinaturas “requisição de eco ICMP” e “resposta de eco ICMP”, que foram resumidas e daqui indicam os endereços IP de Um ou Mais Servidores Cisco ICM NT do atacante/vítima como '0.0.0.0'.

Não confunda eventos globais da sumarização com da “os eventos assinatura 1102.0 (pacote IP impossível)”. Os hacker puderam tentar iludir um IPS com o uso de todos os zero para os endereços IP de origem/destino e movê-lo que poderiam provocar esta assinatura, que pôde olhar como um evento resumido.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118685